MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2015年10月 世界のマルウェアランキング

この記事をシェア
2015年10月のマルウェアランキング結果発表
目次
詰めが甘すぎる419詐欺メール
David Harley、ESETシニアリサーチフェロー
Chainmailcheckのブログより転載(掲載許諾済)
Urban Schrottが最近執筆した記事では、彼の同僚の元に届いた一見パーソナライズされた詐欺メールを取り上げています。その同僚は、アイルランドのクラシファイド広告(個人広告)サイトであるDoneDealを利用して車を売ろうとしていて、詐欺師は購入意思をチラつかせて接近してきました。とはいえ、以下のとおり、車への言及はまったくありません。
 
‘Hello. Thanks for your email concerning your offer. The offer is just a minor objective of my contacting you but am going to buy it at your selling price.’
「こんにちは。売却のご提案をいただきありがとうございました。あなたの提示価格でぜひ購入したいと考え、連絡させていただきました。」


メールが届いたのは買い手が見つかった後だったのですが、注目すべきは「car」ではなく「offer」という単語が使われている点です。メッセージは定型文であり、複数のユーザーに送信された、とUrbanは指摘しています。とはいえ、ユーザーが誘い文句に乗ってしまうのも無理はありません。金銭的には願ってもない好条件ですし、「offer」という単語ならば車でも家具でも何にでも当てはまるからです。

このような言い回しに馴染みがある方は少なくないかもしれません。米兵を名乗ってアフガニスタンからの資金転送の協力を求めるメールとよく似ているのです。その英文の品質は悪くありませんが、「I have summed up courage to contact you」などのミス(正しくはsummoned up)が見られるあたり、作成者の母国語は英語ではないと思われます。それにしても、彼が直面しているという危機的状況の内容は何とも傑作です。
 
‘No compensation can make up for the risk we have taken with our lives in this hellhole, and I have been shot, wounded and survived two suicide bomb attacks by the special grace of God.‘
「私たちがいる地域は地獄のような状況で、生きて帰ってこられる保証はありません。しかも私は狙撃され、傷を負っています。自爆攻撃も2回受けましたが、神様の特別な恵みのおかげで何とか生き延びています。」


私だって薄情ではありません。次回、あなたが狙撃されたり爆撃に遭ったら、ぜひご連絡ください。代わりに私が一発お見舞いしてあげますから。

もちろん、受信者がこの文章に心を痛めるほどのお人よしで要求に応じてしまうと、架空の資金を転送するためにまず“手数料”を出してほしいと切り出してきます。過去にも、数百~数千ポンドまたはドル(一部ではそれ以上)を支払ったものの、(当然ですが)一銭も送られてこなかったケースが確認されています。

Urbanの過去の記事では、クラシファイド広告サイトのDoneDealで詐欺に巻き込まれないようにする方法安全対策に関するアドバイスを紹介しています。419詐欺や個人広告を集めて掲載するクラシファイドサイトを利用した他のタイプの詐欺について知識が乏しい方であれば、Urbanの記事やDoneDealのサイトに掲載されているアドバイスはどれも一読に値します。

もちろん、インターネット上での売買と直接関連する詐欺は膨大に存在しますが、DoneDealのようなサイトを利用する場合も詐欺に遭わないよう気を配ることが重要です。詐欺師は、一見しただけでは見破れない定型文を装ったメッセージを使用して、潜在的なターゲットとの接触を図ります。
419詐欺のパターンとその目的は?
David Harley、ESETシニアリサーチフェロー
ITSecurity UKのブログより転載(掲載許諾済)
419詐欺のパターンとその目的は?
私は最近、光栄にもHeinzと名乗る人物から次のようなメールをいただきました。
 
… I have an offer worth 23million if interested,please contact me
(...興味をお持ちでしたら、あなたに2,300万をお渡ししたいと思います。ぜひご連絡ください)


私が興味なかったら、受け取る資格はないということでしょうか (そもそも2,300万はどの通貨なのでしょうか。超インフレ状態で発行停止が決まったジンバブエドルなら、まったく興味が湧きません)。

文法的な面を抜きに考えても、これは間違いなく419詐欺メールです。幸いとも言うべきか私は、タダで贈り物をくれるサンタクロースといった類の存在を信じていた歳をとうに過ぎています。

419詐欺とは、「先払い詐欺」(Advance Fee Fraud)の一種で、詐欺師は、ターゲットに商品やサービス、または多額の金銭を受け取れると持ちかけ、そのための手数料を支払うよう促します。もちろん、支払ったところで送られてくることは絶対にありません。「419」という数字は、以下の内容(拙訳)のナイジェリア刑法419条に由来しています。
 
「虚偽表示により、および詐欺の意図を有し、窃取され得る他者の財物を得た、またはいかなる人にであれ窃取され得る財物を配布するよう他者を誘導した者は重罪であり、3年の懲役に処する。

窃取した財物に1,000ナイラまたはそれ以上の金銭的価値がある場合は、7年の懲役に処する。

419条A。(1)虚偽表示、またはその他の詐欺行為により、自分自身または他者のために信用を得た者は、以下のとおり処分を受けるものとする。

a) 一切の債務や責任を負う。
b) 信用を付与する者と享受する者の間の貸借勘定への記入により、これを実現する場合は重罪であり、3年の懲役に処する。

419条B。419条または419条Aの下で進める訴訟手続きにおいては、被告人は以下の行為を行ったことが証明されたものとする。

(a)窃取され得る財物を得た、またはその配布を誘導した。

(b)被告人が小切手を発行したときに、その発行後に合理的期間内に支払いのために呈示した場合には受け取られていたことを信じる、および実際に信じた合理的根拠があったことを示す証拠に裁判所が満足した場合を除き、合理的期間内に支払いのために呈示したときに、振り出された銀行において小切手振出人の信用を得るための資金が一切または十分にないという理由で不渡りとなった小切手により、自分自身または他者のために信用を得た。虚偽表示により、財物が得られた、その配布が誘導された、または信用が得られたものとみなす。

この長々とした条文からもわかるとおり、幅広い詐欺が419詐欺に該当することになります。実際、先払い詐欺や419詐欺にはさまざまなパターンが存在します。ただし、そのすべてが先述したHeinz氏の例のような体裁というわけではありません。

以下に一部をまとめておきます。
  • 宝くじ詐欺。実際には登録していない、聞いたこともない宝くじで当選したと告げ、先に税金やその他の諸経費を支払えば賞金を受け取れる、と持ちかけます。
  • 小切手過払い詐欺(偽造小切手/不渡りの小切手を利用した詐欺の一パターン)。
  • 暗殺者からの脅迫 お金を払えば見逃す、と迫ります。
  • 求人詐欺。代理店に手数料を支払えば(実際には存在しない)仕事が得られる、と持ちかけます。
  • 遺産相続を持ちかける詐欺。
  • 資金転送の協力を求める詐欺。相手は、銀行員や中東に駐留する米兵、ナイジェリア人宇宙飛行士、教皇など、さまざまな人物に成りすまします。
  • 「商談」を持ちかける詐欺。
  • 出会い系詐欺。
  • 政治難民からの協力要請。資金を国外に移動させる名目で、ターゲットの口座を貸してほしい、と要求します。
  • 慈善団体や宗教団体からの協力要請。慈善目的と称して、資金分配への協力を仰ぎます。多くの場合、死期が迫っている一般人、またはバチカン含む宗教団体や慈善団体の代表者を名乗ります。
  • 金の運び屋を募集するメッセージ。マネーロンダリングにおいて古典的なフィッシング関連の「仕事」に似ていますが、間違いなく「419詐欺」です。ただし、ほとんどのケースが「求人」に関連した先払い詐欺の別のパターンであることが判明しています。
  • 義援金詐欺。多くの場合、個人的な災難や死別が419詐欺のエサとして利用されますが、武力紛争や地震、津波に便乗するケースもあります。詐欺師は、ストーリーに信憑性をもたせるためにもっともらしい状況をでっち上げます。このようなパターンは、慈善事業や災害救援を騙った詐欺においても頻繁に利用されています。

もちろん、419詐欺のパターンは他にもまだまだあります。

信じられないかもしれませんが、419詐欺の中にはとんでもない手抜きのメッセージもあります。以下は私が昨年執筆した文章です。
 
メッセージというよりも、もはや脚注
そして、私が目にした中でも最も手抜きの419詐欺メッセージは、roselyngrey2という人物が送ってきたものです。件名は、「I have a project. If interested. Reply(プロジェクトがあります。興味のある方は、ご返信ください)」となっています。ピリオドの打ち方がおかしいのですが、原文のままです。しかも、メッセージの本文はありませんでした。はたして、こんなメールに引っかかる人がいるのか疑問です...


この種の簡潔なメッセージの存在意義は、多くの419詐欺の実行犯が作成する精巧な文面でよく見られるフレーズや表現を検出対象とするソフトウェアでは、除外が極めて困難という点にあるのかもしれません。この点を考慮すると、一部の419詐欺メールが.JPGなどの画像ファイル(Microsoft Word文書やPDFファイルの場合もあります)と一緒に配布されているのも納得できます。つまり、OCRソフトウェアで文字認識しても画像内のテキストを必ずしも読み取れるわけではなく、しかもこのようなソフトウェアは単純なテキストフィルターよりも多くのリソースを消費するのです。

(Microsoft Office文書やPDFファイルは、文書フォーマット内の脆弱性を突いてマルウェアを配布する攻撃者に極めて一般的に利用されている点に留意してください。この種の攻撃は先払い詐欺よりもAPT攻撃や標的型のフィッシング攻撃との関連性が高いのですが、419詐欺の実行犯は収益化のための新しいアプローチを随時試しています。)

とはいえ、419詐欺の実行犯は効率化を目標にターゲットを絞り込んだ攻撃へ移行を進めている傾向にある、との意見もあります。この詐欺が古くから存在し、一部のメッセージはほぼ定型化しているという事実により、ほとんどの人が、ナイジェリアをはじめとする西アフリカの国々からの巨額すぎる金銭の提供を申し出るメッセージを不審に思う可能性が高い、というのがその根拠です。そのため、多くの実行犯は詐欺だと感づかれないような精巧なメッセージを作成していますが、MicrosoftのCormac Herley氏は、「ナイジェリア詐欺の実行犯がナイジェリアからと主張するのはなぜか?」という自身の疑問に次のように回答しています。
 
西アフリカのお金持ちのメッセージは展開が強引すぎて、この上なく滑稽です。しかし分析を進めたところ、攻撃者にとって弱みではなく、強みとなることが示唆されています。攻撃が成功する確率は低く、詐欺の実行犯は何としても迷惑メールとして認識される割合を減らさなければなりません。迷惑メールとして認識されないメールを作成することで、騙されやすい人に確実にメールが届くようになるのです。


実際のところ、「ナイジェリア」からとする一部の419詐欺が本当はナイジェリアからではない事実を示す証拠があります。私たちは確かに多くのタイプのメッセージをまとめて419という用語で表現していますが、この種のメッセージは、ナイジェリア以外のどこからでも送信されている可能性があります。

滑稽で簡潔なメッセージには、どのような意図があるのでしょうか。私にはその目的が、大半の人がバカバカしいとみなす申し出に返信してしまい、「自分は何て大馬鹿者なのか」とターゲットに思わせることであるように思えます。

私は、詐欺メッセージに対する純粋さが必ずしも愚かだとは思いません。熟練ユーザーからしたら、初心者ユーザーにはやきもきするのかもしれませんが、ITの専門家が詐欺やデマに騙されるケースも見てきました。ターゲットが騙されやすいからといって、詐欺に遭うのは仕方がないと片づけるつもりはありません。それでも、こうした連中とのやり取りは避けたほうがおそらく賢明です (わざと騙されたふりをして、詐欺師を一泡吹かせてやろうという魂胆であれば止めはしませんが)。

見知らぬ人から、何かを無料で受け取れるという類のメール(棚ぼた詐欺とも呼びます)が届いても、信用してはいけません。一方で、419詐欺などでは、ユーザーの不安を煽ったり、人道支援を訴えたりするタイプのソーシャルエンジニアリングも利用されています。フィッシング詐欺などの他の詐欺でも同様に、複数のタイプのソーシャルエンジニアリングが組み合わされています。また、パーソナライゼーションなし、早急に対応しないと金銭を受け取れないといった緊迫感の演出など、体裁はしばしば定型化されているものの、一般ユーザーにとって見分けるのはそう簡単ではないのかもしれません。

以下は、私とAndrew Leeが2007年に執筆した論文からの抜粋です。
 
どんなに目を凝らしても、優れた自動ソフトウェアを使用しても、フィッシングメールと正当なメールを100%確実に見分けることは不可能です。その原因の一部は、詐欺師が組織のメールと酷似したメールを容易に作成できてしまう点にあります。つまり、標的の組織の対応次第では回避できるケースも少なくないのです。

しかし、見分けるための手がかりはいくつかあります。
 
  • 口座を開設していないにもかかかわらず、口座に関する内容のメールが銀行などの金融機関から送られてきたら、まず詐欺だと考えてください。これはおそらく、詐欺師が、保持している大量のメールアドレス宛に送信したためでしょう。連中は、送信相手の中にその金融機関の口座を持っているユーザーがいれば儲けもの、と考えているのです。
  • 金融機関が機密情報に関連するメールを送信する場合、その本文は送信相手に合わせて適切な形でパーソナライズされているはずです。この点に着目すれば、メールの送信者が本物か成りすましかを合理的に判断できます。


今回はここまで。このトピックについてはまた別の機会に詳しく掘り下げることにしましょう。
ESETのコーポレートニュース
新しいネットバンキング保護機能が追加された主力セキュリティソリューションの最新バージョンをリリース

ESETは、個人向けの主力セキュリティソリューションであるESET Smart Security 9ESET NOD32アンチウイルス9の最新バージョンをリリースしたと発表しました。どちらの新しいソリューションにも高度な検出技術が採用されており、保護機能や使いやすさ、性能の向上が実現している一方、定評あるその軽快な動作は従来のバージョンと変わりません。

中でも特筆すべき新しいセキュリティ機能は、ESET Smart Security 9に組み込まれた★ネットバンキングおよびお支払い保護機能★です。この新機能は、ネットバンキングやオンライン決済サービスを利用しているお客様を保護するとともに、すべてのオンライン金融取引が安全な環境で処理されるようにブラウザーのセキュリティを強化します。また、クレジットカードの詳細やパスワードなど、ユーザーが入力したデータはすべて暗号化されます。

さらに、ESET Smart Security 9では、ボットネットプロテクションエクスプロイトブロッカーなどの実績を重ねた技術も強化されています。ボットネットプロテクションは、悪意のある攻撃者によるユーザーのPCのリモート制御、および感染PCで構成されるネットワークの一部としての利用を阻止します。一方、エクスプロイトブロッカーは、WebブラウザーやPDFリーダー、電子メールプラットフォーム、Microsoft Office™コンポーネントなどの、ユーザーのシステム上のアプリケーションのセキュリティを強化します。以前のバージョンに採用された技術をベースとするESET LiveGridは、新たな脅威を効果的に検出する高度な早期警告システムとして利用されています。これらの高度な検出技術については、ESETの技術ページで詳しく説明していますのでぜひご覧ください。

ESET Smart SecurityとESET NOD32の最新バージョンには、大規模なユーザビリティーテストの結果に基づいて完全に再設計されたユーザーインタフェースが搭載されています。ユーザーエクスペリエンスも、製品の購入とアクティベーションを簡素化する一新されたライセンシングフレームワークを通じて改善されています。ESETのお客様は、ESETのナレッジベース内のオンラインヘルプコンテンツや、ゲーム感覚で学習できるサイバーセキュリティ教育用リソースに引き続き無料でアクセスできます。

ESET Smart SecurityとESET NOD32の最新バージョンには、大規模なユーザビリティーテストの結果に基づいて完全に再設計されたユーザーインタフェースが搭載されています。ユーザーエクスペリエンスも、製品の購入とアクティベーションを簡素化する一新されたライセンシングフレームワークを通じて改善されています。ESETのお客様は、ESETのナレッジベース内のオンラインヘルプコンテンツや、ゲーム感覚で学習できるサイバーセキュリティ教育用リソースに引き続き無料でアクセスできます。


次世代法人向け製品が、AV-Comparativesの年次ビジネスレビューで絶賛

独立系テスト機関のAV-Comparativesは、年次レビュー『IT Security Products for Small Business』を公開しました。ベンダー9社のITセキュリティソリューションを対象としたこのレビューでは、各ベンダーの法人向けセキュリティ製品を詳細に分析、評価しています。レビュー対象となったESET製品は、ESET Remote AdministratorESET Endpoint Security for WindowsESET File Security for WindowsESET Endpoint Security for OS Xの各次世代法人向け製品でした。

AV-ComparativesのCEO、Andreas Clementi氏は次のように述べています。「ESETの法人向け製品は、重要な情報や機能に容易にアクセスできるなど、洗練度において群を抜いていました。中でも、ドキュメントやヘルプ機能が包括的かつ明確でわかりやすい点と、エンドポイント保護ソフトウェアとして高い効果を発揮している点が高評価につながりました。」

さらに、ESET Remote Administratorが、小規模企業だけでなく、大規模企業のネットワーク管理にも適しており、設定も非常に簡単である、との評価を受けています。「ESETの次世代法人向け製品はいずれも適切に設計されており、セキュリティソフトウェアとして使いやすい。さまざまなバージョンのプラットフォームやクライアントソフトウェアにおいて安定して高い効果を発揮し、そのコンソールによりIT管理者の作業も簡素化される」とレビューに記されています。
マルウェアランキングトップ10
1. Win32/Bundpil[全体の約5.80%]
前回の順位:1位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。HTTPプロトコルを使用してC&C(指令)サーバーと通信を行い、新しい命令を受け取ります。次のフォルダーを削除する場合があります。
*.exe
*.vbs
*.pif
*.cmd
*Backup.
2. LNK/Agent.BS[全体の約2.62%]
前回の順位:ランク外
LNK/Agent.BSは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。
3. LNK/Agent.AV[全体の約1.74%]
前回の順位:5位
LNK/Agent.AVは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行する別のリンクで、autorun.infという古い脅威と同様の影響を及ぼします。
4. JS/TrojanDownloader.Iframe[全体の約1.69%]
前回の順位:2位
このトロイの木馬は、悪意のあるソフトウェアの配信サイトに誘導する特定のURLにブラウザーをリダイレクトします。悪意のあるコードは通常、HTMLページに埋め込まれています。
5. HTML/ScrInject[全体の約1.63%]
前回の順位:4位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
6. Win32/Sality[全体の約1.43%]
前回の順位:7位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。

詳細については、こちらをご覧ください。
7. Win32/Sality[全体の約1.39%]
前回の順位:9位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、.dll(ダイレクトリンクライブラリー)ファイルや.exe(実行)ファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を挿入します。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからのファイルのダウンロード、実行ファイルの実行、またはコンピューターのシャットダウンや再起動を行います。
8. JS/IFrame[全体の約1.31%]
前回の順位:ランク外
このトロイの木馬は、悪意のあるソフトウェアの配信サイトに誘導する特定のURLにブラウザーをリダイレクトします。悪意のあるコードは通常、HTMLページに埋め込まれています。
9. INF/Autorun[全体の約1.29%]
前回の順位:10位
INF/Autorunは、autorun.inf設定ファイルの中で、マルウェアによって作成されたさまざまな悪意のあるファイルの汎用検出名です。この悪意のあるファイルには、マルウェアの実行ファイルへのパスが記述されています。感染したドライブをマウントするとマルウェアの実行ファイルが自動実行されるように、通常はアクセス可能なすべてのドライブのルートフォルダー内に作成されます。Windows Explorer内での表示を避けるため、システム(S)属性と隠し(H)属性が設定される場合があります。
10. Win32/AdWare.ConvertAd[全体の約1.17%]
前回の順位:ランク外
このアドウェアは、迷惑広告の配信に使用されます。通常は別のマルウェアの一コンポーネントです。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2015年10月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち5.80%を占めています。

2015年10月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年10月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!